15.000 EUR Bußgeld, weil Datenschutz-E-Mail-Adresse auf der Website des Unternehmens nicht funktionierte

Funktioniert Ihre E-Mail-Adresse, die Sie auf Ihrer Website haben und unter der die Kunden ihre DSGVO-Rechte (z.B. Löschung oder Auskunft) geltend machen können, wirklich? Das sollten Sie schnellstens testen. Hintergrund: Eine Aufsichtsbehörde verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 15.000 EUR, weil die E-Mail-Adresse längere Zeit nicht funktionierte. Zu Recht, wie jetzt ein Gericht entschied.

Was war passiert?

Das betroffene Unternehmen nannte auf seiner Webseite eine spezielle elektronische Mail-Adresse, an die User ihre datenschutzrechtlichen Belange richten konnten. Ein Kunde verlangte u.a. die Löschung seiner Daten. Diese Nachricht erreichte das Unternehmen jedoch nicht, da die digitale Kontaktadresse nicht funktionierte. Erst nach mehreren Aufforderungen und nach Einschaltung der zuständigen Datenschutzbehörde erfolgte schließlich die Entfernung der Kundendaten. Auf weitere Schreiben der Datenschutzbehörde reagierte die Firma nicht und passte auch ihre Datenschutzerklärung nicht an.

Erst kam die Aufsichtsbehörde …

Die Datenschutzbehörde verhängte daraufhin aufgrund des gesamten Sachverhalts ein Bußgeld in Höhe von 15.000,- EUR. Dagegen wehrte sich das Unternehmen.

… dann bestätigte das Gericht das Vorgehen der Aufsicht

Das österreichische Bundesverwaltungsgericht (BVerwG) bewertete den Bußgeldbescheid als rechtmäßig. Die Verhängung einer Geldbuße in Höhe von 15.000,- EUR sei angemessen (BVerwG Österreich, Urt. v. 28.03.2025, Az. W298 2285480-1/10E).

Das Unternehmen habe gegen mehrere DSGVO-Normen mit seinem Verhalten verstoßen:

• Es läge ein Verstoß gegen dessen Pflicht als Verantwortlicher gemäß Art. 12 Abs. 2 DSGVO vor, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO zu erleichtern.
• Auch läge ein Verstoß gegen die Pflicht gemäß Art. 12 Abs. 3 DSGVO iVm. Art. 17 DSGVO vor. Danach müssen der betroffenen Person Informationen in Bezug auf einen Antrag gemäß den Art. 15 bis 22 DSGVO unverzüglich, jedoch jedenfalls innerhalb eines Monats nach Eingang des Antrags, zur Verfügung gestellt werden.
• Außerdem habe das Unternehmen gegen seine Pflicht verstoßen, gemäß Art. 31 DSGVO mit der Behörde auf Anfrage bei der Erfüllung der Aufgaben zusammenzuarbeiten. Auch im Verfahren vor dem Gericht habe die Beschwerdeführerin(das Unternehmen) in keiner Phase des Verfahrens mitgewirkt.

Die Beschwerdeführerin sei den Anforderungen dennoch nicht nachgekommen und habe dadurch die Verwirklichung der gegenständlichen Verwaltungsübertretung ernstlich für möglich gehalten und sich jedoch damit abgefunden. Die Aufsichtsbehörde habe daher richtiger Weise eine vorsätzliche Tathandlung durch die Beschwerdeführerin angenommen. Auch im Verfahren vor Gericht sei keinerlei Willen zur Mitwirkung oder zur Minderung der Folgen der vorgeworfenen Rechtsverletzung zu erkennen.

Warum ein so hohes Bußgeld?

Hinsichtlich der Höhe des verhängtes Bußgeldes führen die Richter aus:

Weil das Unternehmen keine Angaben zu Einkommens- und Vermögensverhältnissen machen wollte, sei der Umsatz anhand des jährlichen Bilanzgewinnes geschätzt und unter Unternehmungen bis zu einem Umsatz von                 unter 2.000.000,– EUR subsumiert worden.

Für die zukünftige Einhaltung der DSGVO seitens der Beschwerdeführerin erscheine die Strafe in Anbetracht dessen, dass die Beschwerdeführerin weder im (Straf)Verfahren vor der belangten Behörde noch beim Bundesverwaltungsgericht mitgewirkt habe und die Datenschutzerklärung immer noch nicht geändert habe, verhältnismäßig und notwendig.

Zwar handele es sich um den ersten einschlägigen Verstoß. Dennoch erscheine die Geldbuße erforderlich, um den Unwertgehalt der Tat zu verdeutlichen und in der Sphäre der Beschwerdeführerin eine zukünftige Kooperation mit Behörden und Einhaltung der datenschutzrechtlichen Pflichten gegenüber betroffenen Personen zu gewährleisten. Insbesondere sei die Erleichterung der Ausübung der Betroffenenrechte und die Kooperation mit der Datenschutzbehörde ein Kernstück der datenschutzrechtlichen Pflichten nach der DSGVO und ein schuldhafter Verstoß gegen die Einhaltung der Pflichten nach der DSGVO als nicht geringfügig anzusehen.

Praxistipps für die Unternehmen

Zwar handelt es sich um eine Urteil aus Österreich, aber der Sachverhalt könnte ebenso gut in Deutschland so ablaufen. Ein Unternehmen sollte daher

• regelmäßig (jede Woche mindestens) checken, ob ihre angegebene E-Mail-Adresse funktioniert.
• das Ergebnis kurz dokumentieren, z.B. „kontrolliert am 01.07.2025, alles ok, Kürzel des Mitarbeiters“.
• Bei Eingang einer Anfrage, einer Auskunft oder eines Löschersuchens, nicht auf Zeit setzen, sondern sich der Sache sofort annehmen.